Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden 1)Wat is authenticatie en waarom is authenticatie nodig. Bij gebruik van computernetwerken is er steeds de moeilijkheid om te bepalen wie op een bepaald tijdstip een netwerkaansluiting gebruikt, of meer algemeen, wie op welk tijdstip verantwoordelijk is voor welk netwerkverkeer. Een netwerkcomputer leent zich bij uitstek om de gebruiker ervan zoveel mogelijk in de anonimiteit te stellen. Zeer veel gebruikers maken hiervan zelfs expliciet gebruik. Sommigen worden bovendien verleid tot misbruik van de beschikbare ICT-middelen. Integraal netwerkbeheer veronderstelt daarom dat elk netwerkgebruik, binnen de redelijke grenzen, toegeschreven kan worden aan een verantwoordelijk persoon. Dit is ook belangrijk voor de rechtspositie van een organisatie. Daarom moet een organisatie zoals de KULeuven voldoende zekerheid hebben over de ware identiteit van haar netwerkgebruikers. In het algemeen kan men spreken van de digitale identiteit van een gebruiker. Het is een digitaal gegeven dat de daarvoor bevoegde mensen in staat stelt de fysieke identiteit die ermee samenhangt met een hoge zekerheid te bepalen. Het zich kenbaar maken op een computernetwerk van een persoon door zijn digitale identiteit mee te delen wordt verder “authenticatie” of het “zich authenticeren” genoemd. 2)Authenticatie is geen autorisatie Autorisatie is een procedure waarbij een netwerkgebruiker via zijn digitale identiteit bepaalde toepassings- en/of netwerkfaciliteiten kan bekomen. Daarbij authenticeert de gebruiker zich bij een toepassing, om vervolgens op basis van de bij de authenticatie meegedeelde digitale identiteit welbepaalde toelatingen (autorisaties) te krijgen. Voorbeelden van toepassingen op KULeuvenNet waarbij autorisatie nodig is : lezen van epostbussen (pop/imap), toegang Anemoon gegevens (lezen en/of aanpassen), dial-in, Kotnettoegang, Toledo, ... Het kan zijn dat verschillende autorisaties “genest” zijn : een dial-in of Kotnet autorisatie van een bepaalde persoon leidt niet zonder meer tot toelatingen binnen bvb. Toledo. Die autorisatie moet nadien hoe dan ook nog gebeuren. Men kan autorisaties koppelen of globaliseren. Dit leidt eventueel tot een zgn. “Single Sign On”, een éénmalige authenticatie die leidt tot meervoudige autorisaties. De toepassingen moeten echter daarop voorzien worden. Het autoriseringsproces van centrale toepassingen is onderwerp van een andere richtlijn
LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 1/6
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
3)Authenticatie : wie is wat ? Een authenticatie kan sterker gemaakt worden door de complexiteit van het mechanisme. Vaak hanteert men drie criteria om een (digitale) identiteit vast te stellen : 1.wat men kent : typisch een wachtwoord, pin-code, ... pin-code = Personal Identification Code, zoals op bvb. een Bankcontact kaart.
2.wat men heeft : een sleutel, magnetische kaart, smart-card, token, ... Een smart-card is een kaart zoals bijvoorbeeld een betaalkaart met zichtbare chip. Een token is een soort rekenmachine die telkens een nieuwe code berekent, veel in gebruik bij de toegangscontrole bij tele-banking.
3.wat men is : biometrie (vingerafdruk, (oog)iris, ...) De combinatie van deze drie criteria geeft de hoogste graad van zekerheid. Natuurlijk kan iedere methode dermate zwak geïmplementeerd worden, dat ze gekraakt kan worden. Betaalbare biometrie voor gebruik op grote schaal staat technisch nog onvoldoende op punt. Het vergt een vrij ernstige investering in lezers en beheerssysteem om tegenwoordig efficiënt te kunnen zijn. Zeker als men het afweegt tegen de risico's waartegen een authenticatie moet beschermen. Sleutels (van alle soorten, ook elektronische, magnetische of optische) bieden wel een mogelijkheid naar de nabije toekomst toe. Het gebruik van dergelijke sleutels impliceert echter ook het beschikbaar hebben van leesapparatuur voor deze sleutels, en de programmatuur voor het beheer en voor het gebruik ervan. Dit vergt een aanzienlijke investering. Momenteel is een algemeen verspreide authenticatie op basis hiervan daardoor nog niet mogelijk. Blijft het eerste criterium, iets wat men kent. Dit is de oudste methode tot nu toe, gebaseerd op één of ander wachtwoord of code die geen enkele andere gebruiker zou mogen kennen. Voorlopig moeten we dus nog verder blijven werken met de authenticatie op basis van een wachtwoord. Het gebruik van het wachtwoord biedt verschillende nadelen: het is eenvoudig door te geven, af te luisteren en te raden. Door echter de nodige maatregelen te nemen kan dergelijke authenticatie dusdanig geïmplementeerd worden, dat misbruiken tot een minimum beperkt worden. Hierdoor verkleint vooral de kans op misbruik zonder medeweten van de eigenlijke gebruiker. Formele regels en het wijzen op verantwoordelijkheden en aansprakelijkheden moeten de gebruiker ervan overtuigen dat een wachtwoord niet doorgegeven mag worden aan anderen. Het doorgeven van een persoonlijk wachtwoord staat gelijk aan het doorgeven van de digitale identiteit van een persoon.
LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 2/6
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
4) Het centraal authenticatiemiddel van LUDIT LUDIT beschikt over een databank van de gegevens van de KULeuven-personeelsleden en studenten. Deze databank omvat ook het gebruikersnummer en een wachtwoord. Het gebruikersnummer is het zogenaamde u- of m- nummer. Deze centrale databank voorziet in het voeden van authenticatiegegevens naar verschillende centraal beheerde toepassingen, zoals epost, Toledo, Kotnet-toegang, dial-in, Active Directories en de centrale LDAP databank. Ze voorziet ook in een procedure voor het beheer (oa. aanpassing) van wachtwoorden. Deze centrale databank is uitermate geschikt om er een gestandaardiseerde authenticatie mee op te bouwen. Het is echter noodzakelijk om enkele regels vast te leggen om een hoge graad van vertrouwbaarheid te bekomen. Met de term “ authenticatiemiddel” wordt in deze tekst bedoeld het koppel gebruikersnummer en bijhorend wachtwoord. Deze tekst omvat enkel de persoonlijke authenticatiemiddelen, dat wil zeggen wachtwoorden verbonden aan een personeelsnummer of studentennummer. Het gaat hier niet over zgn. “ systeemaccounts” zoals “ root” of “ Administrator” . a.Het authenticatiemiddel is een gedeeld geheim tussen LUDIT en de gebruiker : 1.De gebruiker krijgt enkel het gebruiksrecht van het authenticatiemiddel volgens de in deze tekst vermelde regels. De KULeuven behoudt alle rechten om de regels van het gebruik van het authenticatiemiddel te bepalen. 2.De gebruiker is steeds verantwoordelijk voor al het netwerkverkeer dat met het aan hem toegekend authenticatiemiddel gebeurt. 3.Een wachtwoord mag nooit, op eender welke manier, doorgegeven worden aan andere personen. Toegang verlenen tot gegevens aan anderen (secretariaat bvb.) dient te gebeuren via de autorisatie binnen een toepassing, niet via het doorgeven van een persoonlijk authenticatiemiddel. Een goed voorbeeld hiervoor zijn de delegaties binnen het Kredietbeheer.
4.Een wachtwoord mag nooit gedeeld worden door meerdere personen. 5.Misbruik of vermoeden van misbruik moet direct gemeld worden, en er moet direct actie ondernomen worden om dit misbruik te stoppen (verandering van wachtwoord, laten blokkeren, ...). b.Het creëren van een initieel wachtwoord: de activatieprocedure. Het in gebruik nemen van een authenticatiemiddel gaat gepaard met een activatieprocedure. Hierbij moet de gebruiker zelf het wachtwoord activeren opdat het gebruikt kan worden voor de verschillende autorisaties. Er zijn verschillende situaties waarin deze activatieprocedure noodzakelijk is. De belangrijkste twee situaties zijn die van het in gebruik nemen van een nieuw gebruikersnummer (bvb. bij een nieuw personeelslid of een nieuwe student) en die waar een authenticatiemiddel om één of andere reden onbruikbaar is geworden (wachtwoord verloren, authenticatiemiddel geblokkeerd, ...). De gebruiker dient daarvoor een webformulier in te vullen met enkele persoonlijke gegevens waarover de KULeuven beschikt. Deze gegevens omvatten bvb. woonplaats, libis-nummer, nummer van de studenten-/personeelskaart, ... LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 3/6
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
De activatieprocedure wordt verder uitgelegd (en up-to-date gehouden) op https://... Hier is ook het genoemde webformulier te vinden. c.Structuur van een wachtwoord 1.Een wachtwoord moet uit 8 karakters bestaan. Het mag uit kleine letters, hoofdletters en cijfers bestaan. 2.Er moeten minstens 1 kleine letter, 1 hoofdletter en 1 cijfer in voorkomen. 3.Het mag geen variatie zijn op naam, nummer, adres, ... Het wachtwoord “Pb711510” voor gebruikersnummer pb711510 is niet goed.
4.Een wachtwoord mag niet gemakkelijk af te leiden zijn van woorden die in een woordenboek te vinden zijn. Daarom moeten wachtwoorden in minstens 2 karakters verschillen van eender welk woord dat in een woordenboek staat. In deze regel worden hoofdletters en kleine letters gelijkgesteld. Wachtwoorden zoals boothuis, Boothuis, bOoThUiS of B0otHu1s zijn allemaal slecht gekozen, en mogen dus niet.
5.Een goed wachtwoord kan gebaseerd zijn op de eerste letters van een zin : bijvoorbeeld 13m4iG26 (van “ Dertien maal vier is geen zesentwintig” ). De zin moet uiteraard niet voor de hand liggen. 6.Een wachtwoord mag maximaal 2 dezelfde tekens achter elkaar bevatten. Niet toegestaan is dus iets als Aaaa1234.
d.Regels in acht te nemen ivm. wachtwoordveranderingen 1.Het instellen van een initieel wachtwoord moet door de gebruiker binnen de 4 weken na inschrijving of aanwerving gebeuren. Zolang dit niet gebeurd is, is het authenticatiemiddel niet bruikbaar. Als er na 4 weken nog geen wachtwoord ingesteld is, wordt het authenticatiemiddel geblokkeerd. 2.Ieder wachtwoord dient minstens 1 keer per jaar veranderd te worden. 3.Een nieuw wachtwoord mag slechts in maximaal 3 tekens hetzelfde zijn als het wachtwoord ervoor. Dit is om te vermijden dat een wachtwoord als 13m4iG26 veranderd wordt in 13m3iG27. De logica van het oud wachtwoord mag niet zomaar overgenomen worden bij het nieuw wachtwoord.
4.Een nieuw wachtwoord mag niet hetzelfde zijn als de 6 wachtwoorden ervoor. Er moet voldoende variatie in wachtwoorden gebracht worden, om raden zoveel mogelijk te vermijden.
5.Een nieuw wachtwoord mag niet hetzelfde zijn als eender welk vorig wachtwoord gebruikt in de 26 weken ervoor. De gebruiker moet ervan overtuigd worden een effectief ander wachtwoord te gebruiken, en niet via omwegen zo snel mogelijk weer zijn oud wachtwoord in te stellen.
6.Wanneer men het wachtwoord vergeten is, kan het oude wachtwoord niet gerecupereerd LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 4/6
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
worden. Het authenticatiemiddel wordt geblokkeerd en kan pas weer gebruikt worden na een nieuwe activatieprocedure. e.Deze regels worden zoveel mogelijk automatisch opgelegd. Er zal bovendien een regelmatige controle gebeuren teneinde het niveau van dit systeem zoveel mogelijk te garanderen. f.Regels inzake het gebruik en beheer van het authenticatiemiddel 1.Het authenticatiemiddel mag enkel gebruikt worden voor authenticatie bij toepassingen die daarvoor door LUDIT goedgekeurd zijn. Een lijst van deze toepassingen is te vinden op https://... Toepassingen die niet goedgekeurd zijn, maar toch het authenticatiemiddel willen gebruiken, dienen direct gemeld te worden. Het is gemakkelijk via een valse server andermans wachtwoorden te sprokkelen. Daarover is nauwelijks controle mogelijk. De gebruiker moet zelf de nodige voorzichtigheid in acht nemen. LUDIT verspreidt een lijst van geldige toepassingen, waar dit authenticatiemiddel gebruikt mag worden. Overwogen moet ook worden dat de goedgekeurde toepassingen één of ander herkenningsteken dragen.
2.Wachtwoorden die op niet-goedgekeurde toepassingen gebruikt worden, dienen te verschillen van het wachtwoord van het LUDIT-authenticatiemiddel. 3.Opslaan en/of transporteren van een wachtwoord moet altijd versleuteld gebeuren. 4.Wachtwoorden mogen nooit in programmatuur opgenomen worden. Hierbij moet opgelet worden bij het automatisch bewaren in toepassingen (zoals een “save password” checkbox). In de meeste webbrowsers, mailclients et al., maar soms in zelf geschreven programmatuur kan het wachtwoord opgeslagen worden. In zo'n geval is het vaak een koud kunstje om zo aan andermans wachtwoord te komen. Bovendien levert het regelmatig heel wat problemen op bij wachtwoordwijzigingen.
5.Wachtwoorden mogen niet zodanig opgeschreven of ergens bewaard worden zodat anderen er gemakkelijk bij kunnen. Opschrijven wordt trouwens hoe dan ook ten sterkste afgeraden. Indien een wachtwoord toch opgeschreven wordt, moet het bewaard worden op een voldoende veilige plaats, en wordt het bovendien best “ verhuld” opgeschreven : binnen een adreslijstje, ... Oa. de klassieke post-it op scherm of onder toetsenbord is een heel gemakkelijke prooi. Een wachtwoord kan bewaard worden in een kluis.
g.Regels waaraan LUDIT zich houdt ten aanzien van de integriteit van het authenticatiemiddel. 1.Het authenticatiemiddel zal voldoende beveiligd worden tegen diefstal en verlies Dit houdt in : inbraak, computerinbraak, maken van backups (die op hun beurt weer voldoende afgeschermd moeten worden), ...
2.Er zal voor gezorgd worden dat het authenticatiemiddel ter beschikking staat onder verschillende formaten, noodzakelijk voor alle goedgekeurde toepassingen. Deze verschillende vormen worden zo synchroon mogelijk gehouden. Een van de belangrijkste manieren waarop LUDIT het authenticatiemiddel aanbiedt, is via de centraal beheerde LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 5/6
Richtlijn over het beheer en gebruik van globale KULeuven-wachtwoorden
v.1.4
LDAP omgeving. Ze bevat verschillende “ hashes” , noodzakelijk voor authenticatie binnen verschillende centraal aangeboden toepassingen. LUDIT onderhoudt en beheert zelf deze verschillende formaten. Een wachtwoorddatabank verlaat LUDIT niet.
LUDIT – KULeuvenNet - Guido Van De Velde
(17/03/03)
p. 6/6
